SVN5630配置SSL-VPN业务,客户端每隔二十分钟就会与总部断开连接

发布时间:  2016-02-01 浏览次数:  479 下载次数:  0
问题描述

SVN5630配置SSL-VPN业务,客户端每隔二十分钟就会与总部断开连接,导致终端的刷卡软件无法正常访问总部服务器业务,无法刷卡

处理过程

1、分析整网拓扑,总部出口为USG防火墙,SVN设备单线旁挂在USG防火墙上,客户端数据到达服务器需要经过USG防火墙

2、考虑是长连接的问题,在SvnUSG防火墙设备上配置长连接策略,再次测试,故障依然存在。

3、在终端上抓包,分析长时间不通信后的刷卡抓包,终端直接发出TCP载荷报文,未收到响应,并在随后的35秒时间内重传7次,且都未收到响应。


USG防火墙流统显示有丢包,丢包原因是首包状态检测失败。防火墙默认开启链路状态检测功能,如果TCP会话已经老化,那么该TCP连接的后续报文到达防火墙时,就会被防火墙丢弃。防火墙TCP默认老化时间为1200秒(20分钟),在没有报文交互的20分钟后,TCP会话就会被清除。此后,如果终端直接发送TCP载荷报文(非synsyn ack报文),就会被防火墙链路状态检测认为为非法报文而丢弃。

 

Protocol(TCP) SourceIp(192.168.202.9) DestinationIp(10.76.150.100)  

 SourcePort(3141) DestinationPort(1521) VpnIndex(public)  

                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag  

 Obverse(pkts) : 60          0           52          8           0            

 Reverse(pkts) : 53          0           53          0           0         

   

 Discard detail information:

  FIRSTPACKET_STATUS_CHECK_1    :     8  

 TCP sequence information:  

 Obverse(hex) : e9723586-e97259ae  

 FirstSetPointSeq(hex) :0   

 LastSetPointSeq(hex) :0   

 Overlap :7   

 Reverse(hex) : cce50a27-cce56502  

 FirstSetPointSeq(hex) :cce56470   

 LastSetPointSeq(hex) :cce56470   

 Overlap :0

 

Protocol(TCP) SourceIp(192.168.202.9) DestinationIp(10.76.150.100)  

 SourcePort(2676) DestinationPort(1521) VpnIndex(public)  

                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag  

 Obverse(pkts) : 20          0           12          8           0            

 Reverse(pkts) : 16          0           16          0           0         

   

 Discard detail information:

  FIRSTPACKET_STATUS_CHECK_1    :     8  

 TCP sequence information:  

 Obverse(hex) : 579734ac-57973bac  

 FirstSetPointSeq(hex) :0   

 LastSetPointSeq(hex) :0   

 Overlap :7   

 Reverse(hex) : f5d3f39b-f5d41ed1  

 FirstSetPointSeq(hex) :0   

 LastSetPointSeq(hex) :0   

 Overlap :0

根因

防火墙默认开启链路状态检测功能,如果TCP会话已经老化,那么该TCP连接的后续报文到达防火墙时,就会被防火墙丢弃。防火墙TCP默认老化时间为1200秒(20分钟),在没有报文交互的20分钟后,TCP会话就会被清除。此后,如果终端直接发送TCP载荷报文(非synsyn ack报文),就会被防火墙链路状态检测认为为非法报文而丢弃。

解决方案

关闭SVN和防火墙的状态检测机制功能。

END